Oracle doet niets aan 2 jaar oude lekken in software
Verschillende programma's van Oracle zijn al twee jaar lek, en ondanks dat het bedrijf hiervan op de hoogte is, heeft het er nog steeds niets aan gedaan. De security onderzoeker die de lekken heeft ontdekt en gemeld bij Oracle heeft ze nu ook publiekelijk bekend gemaakt. Het gaat om drie ernstige en drie medium lekken, die zich in Oracle Reports en Oracle Forms bevinden. De Duitse security onderzoeker Alexander Kornbrust waarschuwde Oracle op 15 april dat als ze de lekken niet bij de volgende update, die vorige week uitkwam, hadden verholpen, hij ze bekend zou maken.
Oracle ontving informatie over de lekken 693, 706, 663, 664 en 692 dagen geleden. "Het gedrag van Oracle in het niet verhelpen van de security bugs na zoveel dagen is niet acceptabel voor klanten. Ze brengen hun klanten in gevaar. Tenminste een lek kan door elke aanvaller via het internet gebruikt worden." zegt Kornburst.
Een woordvoerder van Oracle ging niet direct op de door Kornburst ontdekte lekken in, maar liet wel weten dat het bedrijf security zeer serieus neemt en alles doet om haar klanten te beschermen. De beste manier om klanten te beschermen zou het niet publiekelijk maken van lekken zijn voordat er een patch of andere oplossing is. Het bedrijf is dan ook teleurgesteld als dit soort informatie voor het uitbrengen van een patch aan het publiek bekend gemaakt wordt. (SMH)
Oracle heeft tijd genoeg gehad om te fixen
beschermen zou het niet publiekelijk maken van lekken zijn voordat er een
patch of andere oplossing is. Het bedrijf is dan ook teleurgesteld als dit
soort informatie voor het uitbrengen van een patch aan het publiek bekend
gemaakt wordt.
beste manier is om klanten te beschermen: De beveiligings lekken zo
spoedig mogelijk dichten!
Het is niet netjes dat de exploits publiekelijk bekend worden gemaakt,
maar dat hoort voor Oracle niet de drempel te zijn om eindelijk wel eens de
lekken te gaan herstellen. Er is namelijk geen garantie dat er niet anderen
al op de hoogte zijn van de lekken als iemand het nog niet ze groots als
nieuws de wereld in slingert wat de lekken zijn. Zeker in 2 jaar tijd loop je
ook zonder grote bekendmaking enorm risico.
Wat ik nu zou hopen is dat de klanten na het horen van dit nieuws eens bij
oracle groots gingen klagen over dit gedrag. Er worden honderdduizenden
euro's uitgegeven en dan krijg je dit soort slappe service.
uitbrengen van een patch aan het publiek bekend gemaakt wordt. (SMH)"
Hallo? Hoe lang hadden jullie dan nog willen wachten met het uitbrengen
van een patch?..
M$ is dus zo slecht nog niet..
M$ is dus zo slecht nog niet..
De goedheid/slechtheid van Microsoft heeft niets te maken
met hoe anderen het doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
